Гаворым аб тым, што сабой уяўляе тэхналогія DANE для аўтэнтыфікацыі даменных імёнаў па DNS і чаму яна не атрымала шырокага распаўсюджвання ў браўзэрах.
/ Unsplash /
Што такое DANE
Сертыфікацыйныя цэнтры (CA) – гэта арганізацыі, якія пасведчаннем крыптаграфічных . Яны ставяць на іх свой электронны подпіс, пацвярджаючы сапраўднасць. Аднак часам узнікаюць сітуацыі, калі пасведчанні выдаюцца з парушэннямі. Напрыклад, летась Google ініцыявалі «працэдуру спынення даверу» да сертыфікатаў Symantec з-за іх кампраметацыі (падрабязна гэтую гісторыю мы асвятлялі ў нашым блогу. и ).
Каб пазбегнуць такіх сітуацый, некалькі гадоў таму ў IETF тэхналогію DANE (але яна не атрымала шырокага распаўсюджвання ў браўзэрах – чаму так атрымалася, пагаворым далей).
DANE (DNS-based Authentication of Named Entities) – гэта набор спецыфікацый, які дазваляе выкарыстоўваць DNSSEC (Name System Security Extensions) для кантролю дакладнасці SSL-сертыфікатаў. DNSSEC уяўляе сабой пашырэнне для сістэмы даменных імёнаў, якое мінімізуе напады, звязаныя з падменай адрасоў. Выкарыстоўваючы дзве гэтыя тэхналогіі, вэб-майстар або кліент могуць звярнуцца да аднаго з аператараў зон DNS і пацвердзіць валіднасць выкарыстоўванага сертыфіката.
Па сутнасці, DANE выступае ў якасці самападпісанага сертыфіката (гарантам яго надзейнасці з'яўляецца DNSSEC) і дапаўняе функцыі CA.
Як гэта працуе
Спецыфікацыя DANE апісана ў . Згодна з дакументам, у быў дададзены новы тып - TLSA. Ён змяшчае інфармацыю аб перадаваным сертыфікаце, памернасць і тып перадаюцца дадзеных, а таксама самі дадзеныя. Вэб-майстар стварае лічбавы адбітак сертыфіката, падпісвае яго з дапамогай DNSSEC і размяшчае ў TLSA.
Кліент падключаецца да сайта ў інтэрнэце і параўноўвае яго сертыфікат з "копіяй", атрыманай ад DNS-аператара. Калі яны супадаюць, то рэсурс лічыцца давераным.
На wiki-старонцы DANE прыведзены наступны прыклад DNS-запыту да сервера example.org па TCP-порту 443:
IN TLSA _443._tcp.example.orgАдказ на яго выглядае так:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE мае некалькі пашырэнняў, якія працуюць з іншымі запісамі DNS апроч TLSA. Першае - DNS-запіс SSHFP для праверкі ключоў пры SSH-злучэннях. Яно апісана ў , и . Другое - запіс OPENPGPKEY для абмену ключамі з дапамогай PGP (). Нарэшце, трэцяе - запіс SMIMEA (у RFC стандарт не аформлены, ёсць ) для крыптаграфічнага абмену ключамі па S/MIME.
У чым праблема з DANE
У сярэдзіне траўня прайшла канферэнцыя DNS-OARC (гэта некамерцыйная арганізацыя, якая займаецца пытаннямі бяспекі, стабільнасці і развіцці сістэмы даменных імёнаў). На адной з панэляў эксперты , Што тэхналогія DANE у браўзэрах правалілася (прынамсі, у бягучым варыянце рэалізацыі). Прысутны на канферэнцыі Джэф Хастан (Geoff Huston), вядучы навуковы супрацоўнік , аднаго з пяці рэгіянальных інтэрнэт-рэгістратараў, аб DANE як аб "мёртвай тэхналогіі".
Папулярныя браўзэры не падтрымліваюць аўтэнтыфікацыю сертыфікатаў з дапамогай DANE. На рынку , якія раскрываюць функцыянальнасць TLSA-запісаў, аднак і іх падтрымку .
Праблемы з распаўсюджваннем DANE у браўзэрах звязваюць з працягласцю працэсу валідацыі па DNSSEC. Сістэма змушаная вырабляць крыптаграфічныя разлікі для пацверджання сапраўднасці SSL-сертыфіката і праходзіць па ўсім ланцужку DNS-сервераў (ад каранёвай зоны да дамена хаста) пры першым падлучэнні да рэсурсу.
/ Unsplash /
Гэты недахоп спрабавалі ўхіліць у Mozilla з дапамогай механізму. для TLS. Ён павінен быў скараціць колькасць DNS-запісаў, якія даводзілася праглядаць кліенту падчас аўтэнтыфікацыі. Аднак унутры групы распрацоўшчыкаў узніклі рознагалоссі, якія вырашыць не ўдалося. У выніку праект закінулі, хаця ён быў ухвалены IETF у сакавіку 2018 года.
Яшчэ адной прычынай нізкай папулярнасці DANE лічыцца слабая распаўсюджанасць DNSSEC у свеце. . Эксперты палічылі, што гэтага недастаткова для актыўнага пасоўвання DANE.
Хутчэй за ўсё, індустрыя будзе развівацца ў іншым напрамку. Замест таго каб выкарыстоўваць DNS для верыфікацыі сертыфікатаў SSL/TLS, гульцы рынка, наадварот, будуць прасоўваць пратаколы DNS-over-TLS (DoT) і DNS-over-HTTPS (DoH). Апошні мы згадвалі ў адным з нашых на Хабры. Яны шыфруюць і правяраюць запыты карыстальнікаў да DNS-серверу, не даючы зламыснікам магчымасці падмяніць дадзеныя. У пачатку года DoT ужо у Google для свайго Public DNS. Што тычыцца DANE – ці атрымаецца ў тэхналогіі «вярнуцца ў сядло» і ўсё ж стаць масавай, трэба ўбачыць у будучыні.
Што яшчэ ў нас ёсць для дадатковага чытання:
Крыніца: habr.com